华为USG6000系列防火墙产品技术白皮书(总体).pdf-道客多多

资源描述

1、华为 USG6000系列下一代防火墙技术白皮书文档版本 V1.1 发布日期 2014-03-12 华为技术有限公司文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 i 版权所有华为技术有限公司 2014。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不

2、在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编： 518129 网址： http:/ 客户服务邮箱： ask_FW_MKT 客户服务电话： 4008229999 华为 USG6000 系列下一代防火墙产品技术白皮书目录文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 ii 目

3、录 1 概述 1 1.1 网络威胁的变化及下一代防火墙产生 1 1.2 下一代防火墙的定义 1 1.3 防火墙设备的使用指南 . 2 2 下一代防火墙设备的技术原则 . 1 2.1 防火墙的可靠性设计 1 2.2 防火墙的性能模型 2 2.3 网络隔离 . 3 2.4 访问控制 . 3 2.5 基于流的状态检测技术 . 3 2.6 基于用户的管控能力 4 2.7 基于应用的管控能力 4 2.8 应用层的威胁防护 4 2.9 业务支撑能力 4 2.10 地址转换能力 5 2.11 攻击防范能力 5 2.12 防火墙的组网适应能力 . 6 2.13 VPN 业务 6 2.14 防火墙管理系统 6

4、2.15 防火墙的日志系统 7 3 Secospace USG6000 系列防火墙技术特点 1 3.1 高可靠性设计 1 3.2 灵活的安全区域管理 6 3.3 安全策略控制 7 3.4 基于流会话的状态检测技术 . 9 3.5 ACTUAL 感知 .10 3.6 智能策略 16 3.7 先进的虚拟防火墙技术 16 3.8 业务支撑能力 .17 3.9 网络地址转换 .18 华为 USG6000 系列下一代防火墙产品技术白皮书目录文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 iii 3.10 丰富的攻击防御的手段 21 3.11 优秀的组

5、网适应能力 23 3.12 完善的 VPN 功能 .25 3.13 应用层安全 .28 3.14 完善的维护管理系统 31 3.15 完善的日志报表系统 31 4 典型组网 1 4.1 攻击防范 . 1 4.2 地址转换组网 2 4.3 双机热备份应用 2 4.4 IPSec 保护的 VPN 应用 . 3 4.5 SSL VPN 应用 5 USG6000 系列下一代防火墙产品技术白皮书文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 1 华为 USG6000 系列下一代防火墙产品技术白皮书关键词： NGFW、华为 USG6000、网络安全、

6、 VPN、隧道技术、 L2TP、 IPSec、 IKE 摘要：本文详细介绍了下一代防火墙的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。名称缩写完整拼写中文解释 NGFW Next Generation Firewall 下一代防火墙 VPN Virtual Private Network 虚拟私有网 AAA Authentication, Authorization, Accounting 验证，授权，计费 ASPF Application Specific Packet Filter 基于应用层规范的包过滤 DoS Denial of Service 拒绝

7、服务，一种常见的网络攻击手段 L2TP Layer 2 tunnle protocal 二层隧道协议 IPSEC IP Security IP 安全 IKE Internet Key Exchange Internet 密钥交换 USG6000 系列下一代防火墙产品技术白皮书 1 概述文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 1 1 概述 1.1 网络威胁的变化及下一代防火墙产生随着网络的高速发展，应用的不断增多， Web2.0 的普及，不断增长的带宽需求和新应用架构 (如 Web2.0)，正在改变协议的使用方式和数据的传输方式，越来越

8、多的应用在少量的端口上进行传输。新的威胁，如网络蠕虫、僵尸网络以及其他基于应用的攻击不断产生，安全威胁将焦点集中在诱使用户安装可逃避安全设备及软件检测的有针对性的恶意执行程序上。传统防火墙主要是基于端口和协议来识别应用，基于传输层的特征来进行攻击检测和防护。面对越来越多的应用使用少量的端口，或者一些应用使用非标准端口，基于端口 /协议类的安全策略，将不再具有足够的防护能力。传统防火墙，也不具有防御基于应用的威胁的能力，如网络蠕虫、僵尸网络传播的威胁。不断变化的业务流程、企业部署的技术，以及威胁的发展，正推动对网络安全性的新需求。新的安全需求，推动下一代防火墙的产生。 1.2 下一代防火墙的

9、定义 Gartner 将网络防火墙定义为在不同信任级别的网络之间实时执行网络安全政策的联机控制。 Gartner 使用“下一代防火墙”这个术语来说明防火墙在应对业务流程使用 IT 的方式和威胁试图入侵业务系统的方式发生变化时应采取的必要的演进。 NGFW 至少具有以下属性：支持联机“ bump-in-the-wire”配置，不中断网络运行。发挥网络传输流检查和网络安全政策执行平台的作用，至少具有以下特性：标准的第一代防火墙能力：包过滤、网络地址转换 (NAT)、状态性协议检测、VPN 等等。集成的而非仅仅共处一个位置的网络入侵检测：支持面向安全漏洞的特征码和面向威胁的特征码。 IPS

10、与防火墙的互动效果应当大于这两部分效果的总和。例如提供防火墙规则来阻止某个地址不断向 IPS 加载恶意传输流。这个例子说明，在 NGFW 中，应该由防火墙建立关联，而不是操作人员去跨控制台部署解决方案。集成具有高质量的 IPS 引擎和特征码，是 NGFW 的一个主要特征。 USG6000 系列下一代防火墙产品技术白皮书 1 概述文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 2 应用意识和全栈可见性：识别应用和在应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务的网络安全政策。例子包括允许使用 Skype，但关闭 Skype 中的

11、文件共享或始终阻止 GoToMyPC。额外的防火墙智能：防火墙收集外来信息来做出更好的阻止决定或建立优化的阻止规则库。例子包括利用目录集成将阻止行为与用户身份绑在一起，或建立地址的黑白名单。 1.3 防火墙设备的使用指南防火墙设备放在整个网络中的汇聚点，如果被保护网络的通信流量有可能会绕过防火墙，则防火墙设备不能对该网络起到安全防范的功能。因此，在使用防火墙设备的时候，需要保证被防火墙保护的网络流量必须全部经过防火墙。默认情况下，防火墙的规则一般是禁止所有的访问。在防火墙设备接入到网络中之后，一定需要按照网络的实际需要配置各种安全策略。防火墙策略的有效性、多样性、灵活性等是考察防火墙的

12、一个重要指标，另外在复杂的网络环境有可能会使用非常多的规则，需要考察防火墙本身规则的容量和在大规则下的转发性能等因素。防火墙本身的安全性也是选择防火墙的一个重要标准。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台，安全的操作系统从软件方面保证了防火墙本身的安全可靠，专用的硬件平台保证防火墙可以经受长时间运行的考验。防火墙设备属于一个基础网络设备，一定要保证防火墙可以长时间不间断运行，其硬件可靠性是非常关键的。在防火墙实施之前，需要先根据网络的实际情况确定需要解决的问题，选择性能、功能均能满足的防火墙设备。在性能和功能的平衡过程中，对性能指标一定要特别关注，因为

13、在实际运行的过程中防火墙的性能是非常重要的，如果性能低下会造成网络的堵塞、故障频繁，这样的网络是没有安全性可谈。性能指标体现了防火墙的可用性能，同时也体现了企业用户使用防火墙产品的代价，用户无法接受过高的代价。如果防火墙对网络造成较大的延时，还会给用户造成较大的损失。现在的主流防火墙设备都是基于状态检测的防火墙设备，这类防火墙设备对业务应用是敏感的。涉及音频、视频等的一些多媒体业务，协议比较复杂，经常会因为对协议的状态处理不当导致加入防火墙之后造成业务不通，或者是为了保证业务的畅通就需要打开很多不必要的端口，造成安全性非常低。因此针对状态防火墙一定要考察防火墙设备对业务的适应性能力，避免引

14、入防火墙设备导致对正常业务造成影响。 USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 1 2 下一代防火墙设备的技术原则 2.1 防火墙的可靠性设计防火墙本身是一个重要的网络设备，而且其位置一般都是作为网络的出口。防火墙的位置和功能决定了防火墙设备应该具有非常高的可靠性。保证防火墙的高可靠性主要依靠如下几点技术来保证：高可靠的硬件设计硬件设计是任何网络设备可靠运行的基础。网络设备不同于普通 PC 等个人、家用系统，网络设备必须要求可以 24 小时不间断正常工作

15、，对其主板、 CPU、风扇、板卡等各种硬件设备都是一个严格的考验。为了可以保证防火墙设备可以长时间不间断工作，必须保证防火墙本身具有一个优秀的硬件结构体系。双机备份技术由于防火墙设备位置的特殊性为了提供更可靠的运行保证，一般防火墙都应该提供双机备份技术。双机备份是采用两台独立的、型号一致的防火墙设备共同工作，提供更可靠的工作环境。完善的双机备份环境可以有两种工作模式：第一种是，两台设备中只有一台防火墙在工作，当发生意外故障的时候另外一台防火墙接替工作。第二种是，两台设备都在工作，当一台发生意外故障的时候，另外一台自动接替所有的工作。链路备份技术链路备份是为了防止因为物理链路故障而导致服

16、务的终止，实现链路备份的具体技术可能有多样。一般最终实现的具体形式是：提供两条链路同时提供服务，当链路都正常的时候可以选择两条链路一起工作起到负载均衡的作用，当某条链路坏的时候，流量全部自动切换到另外一条链路上。实现链路备份，应该要求防火墙能提供各种路由协议、各种路由管理功能。基于路由提供的链路备份技术可以非常好的使用在各种场合，通过多条链路的互相备份提供更可靠的服务。热备份技术热备份指的是在发生故障产生设备切换或者是链路切换的时候完全不影响业务，这样的备份机制一般称为“热备份”。而如果因为故障等产生的备份行为发生的时候业务会中断，这样的备份机制应该称为“冷备份”或者“温备份”。在大部分

17、介绍资料里面，热备份、温备份、冷备份的概念并没有严格的区分，许多厂商都是使用“热备份”概念来宣传的，但是从实际效果上看大部分备份机制并不是严格的热备份。从热备份的机制上可以知道，如果动态信息越多则热备份的实现机制越复杂，USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 2 防火墙设备需要维护大量的规则信息、连接信息等，针对防火墙设备的热备份机制都会比较复杂，因此在考察防火墙的备份技术的时候，需要注意区分热备份和冷备份。防火墙设备的可靠性设计反映出了防火墙在设计方面的

18、一种综合考虑，必须明确的是防火墙设备是一台重要的网络设备，其可靠性要求设计要求比较高，在选择防火墙设备的时候需要综合考虑其可靠性方面的设计。 2.2 防火墙的性能模型前面已经提到防火墙的性能对于衡量一个防火墙设备来说非常重要，那么到底应该通过哪些指标来具体的衡量防火墙的性能呢？本小节主要讨论一下，衡量防火墙的性能的时候应该注意哪些方面。业界现在衡量防火墙的性能的时候，主要使用“吞吐量”这个指标。吞吐量主要是指防火墙在大包的情况下，尽量转发能通过防火墙的总的流量，一般使用 BPS（比特每秒）为单位来衡量的，使用吞吐量作为衡量防火墙的性能指标非常片面，不能反映出防火墙的实际工作能力。除了吞

19、吐量之外，在衡量防火墙性能的时候一定还要考察下面几个指标：小包转发能力防火墙的吞吐量在业界一般都是使用 1K 1.5K 的大包衡量防火墙对报文的处理能力的。因网络流量大部分是 200 字节报文，因此需要考察防火墙小包转发下性能，防火墙的小包转发性能真实的反映了防火墙在实际环境下工作的转发性能指标。规则数目对转发效率的影响防火墙一般都是工作在大量的规则下，规则、业务的实施对转发性能有必然的影响，因此需要考察防火墙在大量规则下的转发效率，避免业务对防火墙性能影响太大，导致防火墙在实际环境下无法工作。每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整 TCP 连接。由于防火墙的连

20、接是动态产生的是根据当前通信状态而动态建立的一个信息表。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。每秒新建连接速度是衡量防火墙功能能力的一个重要指标，该指标偏低的时候防火墙无法在实际的网络环境中体现优异的性能，尤其是遭受 DOS 攻击的时候，如果该指标偏低防火墙会停止工作。并发连接数目由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP 的

21、访问。延时延时测试是指在不丢包的前提下转发数据包所需要的时间，延时越小越好。延时在一些对实时性要求高的场合非常重要，例如语音、视频等业务。如果通过防火墙的延时太大，会造成声音失真、重要业务中断等情况发生，因此保持很小的延时是防火墙性能的一个重要指标。 USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 3 以上是衡量防火墙性能的一些基本数据，在实际选择防火墙的时候也可以根据具体的组网要求衡量一些其他的指标。由于防火墙本身是一个“处理复杂业务”的数据通信设备，涉及的性能

22、指标比传统数据通信设备的多，在实际选择的时候一定要注意这一点，防火墙的性能指标同时反映了一台防火墙的综合指标，包括软件设计、硬件设计等各个方面，是选择防火墙设备的一个重要依据。 2.3 网络隔离防火墙的本质功能就是隔离网络，通过防火墙可以把普通区域、重点区域等各种逻辑网络进行隔离，避免了不安全因素的扩散。在防火墙技术体系中，灵活的网络隔离特性是防火墙非常重要的一个特性，只有合理的划分了网络区域，安全策略也可以更有效的实施。防火墙是否具有合理的网络隔离，可以根据以下一些情况考察：整个防火墙的网络隔离体系是否具有清晰的逻辑结构，使得防火墙可以适应不同的场合。例如，防火墙至少应该具有单独的 D

23、MZ 区域。网络区域应该可以和各种物理接口配合工作，并且不依赖于物理接口提供网络隔离的划分。如果依靠物理接口进行网络隔离，很明显不能满足各种方案的灵活实施，网络隔离是一个逻辑上面的概念，必须可以灵活设定才能更好的满足业务的实施。网络隔离的时候，是不是考虑了针对隧道、 VPN、 VLAN 接口等各种虚拟接口的实施。现在网络业务灵活多变， VPN、 VLAN 隔离是各种网络经常实施的一些业务，区域隔离必须考虑各种虚拟接口的实施以及和各种 VPN、 VLAN 等业务的配合实施。在整个体系当中，是否考虑防火墙本身的安全问题。防火墙是一个网络隔离的控制点，因此防火墙本身的安全问题是一个非常重要的

24、问题，如果防火墙本身得不到保证，整个网络的安全性就无法保证。如何保证被防火墙分隔的网络中对防火墙本身的访问也必须是网络隔离中考虑的一个问题。 2.4 访问控制防火墙另外一个重要功能就是访问控制，在防火墙中主要涉及访问控制列表。通过报文的特征定义一系列的规则，通过这些规则特征可以控制通过防火墙报文。访问控制特性是防火墙最重要的特性。由于在一些复杂场合，防火墙需要设定大量的规则，因此针对大量规则的性能指标也是衡量防火墙性能和功能的一个重要条件。 2.5 基于流的状态检测技术在访问控制中应用的较多的是基于 ACL 的 IP 包过滤技术，这种技术简单可靠，但缺乏一定的灵活性。对于类似于应用 FT

25、P 协议进行通信的多通道协议来说，配置防火墙则是困难的。 FTP 包含一个预知端口的 TCP 控制通道和一个动态协商的 TCP 数据通道，对于一般的防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道的入口。基于状态检测的技术可以解决这样的问题，通过对数据包的状态进行检测，可以动态的发现应该打开的端口，这样可以保证在通信的过程中动态的决定哪些数据包可以通过防火墙。 USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 4 基于流的状态检测技术可以提供

26、更高的转发性能，因为基于 ACL 的包过滤技术是逐包检测的，这样当规则非常多的时候包过滤防火墙的性能会变得比较低下，而基于流的状态防火墙可以根据流的信息决定数据包是否可以通过防火墙，这样就可以利用流的状态信息决定对数据包的处理结果加快了转发性能。现在主流的防火墙产品基本上都采用了状态防火墙技术，因此在选择防火墙的时候应该优先考虑状态防火墙。 2.6 基于用户的管控能力下一代防火墙，不仅能够根据 IP 地址进行安全策略控制。需要能够根据用户身份进行安全策略控制。防火墙应该能够监控用户的上下线动作，并根据用户 /用户组进行用户权限的控制、带宽分配等。 2.7 基于应用的管控能力下一代防火

27、墙，不仅能够根据端口进行策略控制。需要能够根据协议内容进行深度应用识别，并根据识别的结果进行基于应用的管控。防火墙必须能够不断升级模式文件（用于识别应用软件），防止员工通过更新应用软件的版本或者使用新的应用软件来绕过防火墙的监控。 2.8 应用层的威胁防护下一代防火墙，不仅能够解决传统网络层的攻击问题。并且需要能够防护基于应用层的威胁。下一代防火墙，集成应用的识别、解码能力，能够检测网络蠕虫、僵尸网络以及其他基于应用的攻击，并且能够检测应用中传输的内容，进行应用层内容过滤，防止敏感信息泄露和非法信息的传输。 2.9 业务支撑能力防火墙一般都是部署在一个网络业务的控制点，而网络安全解决方

28、案的一个重要手段就是在“开放”和“安全”之间找到一个平衡点，因为防火墙本身的技术特点有时候会引起当引入防火墙设备到网络的时候导致某些业务受到影响。为了满足网络的业务扩展能力的提高，在部署防火墙的时候需要考察防火墙的业务支撑能力。基于流的状态检测特性是否考虑了对丰富业务的支持，随着网络带宽资源的丰富，各种基于宽带应用的业务日益丰富，在使用基于流的状态检测技术的同时一定得保证该技术对各种业务的支持能力。具有对多媒体业务的支持能力，在宽带业务中多媒体业务占很大的比例，例如基于H.323、 SIP、 RTSP 的语音视频业务，因此防火墙应该全面支持 H.323、 SIP、 RTSP等多媒体业务。

29、USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 5 防火墙必须支持强大的地址转换功能。由于现在 IPV4 的公有地址十分短缺，因此地址转换已经是提供业务的必须手段，由于防火墙的特殊位置，在防火墙上提供地址转换是最常用的业务之一。同时使用地址转换技术可以有效的屏蔽内部网络，也是一个保证网络安全的非常有效的手段之一。防火墙需要支持必要的组播业务。防火墙需要支持各种保证 QoS（服务质量）的手段。 2.10 地址转换能力随着 Internet 的发展， IP 地址短

30、缺问题已经成为了一个越来越严重的问题。在 IPV6 使用之前，地址转换（ Network Address Translation）技术是解决这个问题的一个最主要的技术手段。地址转换主要是因为 Internet 地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（ Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务，如： WWW、 FTP、 TELNET、SMTP、 POP3 等。地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。在正向的地址转换中，具有只转换地址（ NAT）

31、和同时转换地址和端口（ PAT）两种形式。现在地址短缺的问题在很多地方非常严重，由于防火墙的位置和技术特点，在防火墙上提供地址转换技术是非常合适的，因此在防火墙设备上提供完善的 NAT 服务是防火墙的一个非常必要的特性。 2.11 攻击防范能力攻击防范的能力是防火墙的一个核心功能，防火墙必须具有高效、可靠的攻击防范的能力，防火墙需要具有如下基本功能防范能力：防火墙必须具有针对 Dos（拒绝式服务攻击）的防范能力。防火墙必须具有各种畸形报文进行防范的能力，可以智能的识别出攻击包。防火墙必须可以抵御各种扫描等窥探攻击。防火墙必须的防御手段必须健全和丰富，因为 Dos 攻击手段种类比较

32、多，因此必须具有丰富的防御手段，才可以保证真正的抵御 Dos 攻击。防火墙必须具有优秀的处理性能，因为 Dos 攻击的一个重要特征就是网络流量突然增大，如果防火墙本身不具有优秀的处理能力，则防火墙在处理 Dos 攻击的同时本身就成为了网络的瓶颈，根本就不可能抵御 Dos 攻击。因为 Dos 攻击的一个重要目的就是使得网络瘫痪，网络上的关键设备点发生了阻塞，则 Dos 攻击的目的就达到了。防火墙必须具有准确的识别攻击能力。很多防火墙在处理 Dos 攻击的时候，仅仅能保证防火墙后端的流量趋于网络可以接受的范围，但是不能保证准确的识别攻击报文。这样处理虽然可以保证网络流量的正常，可以保证服务器不

33、会瘫痪，但是这样处理还是会阻挡正常用户上网、访问等的报文，因此虽然网络层面是正常的，但是真正的服务还是被拒绝了，因此还是不能达到真正的 Dos 攻击防御的目的。 USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 6 2.12 防火墙的组网适应能力由于网络部署的复杂性，要求防火墙本身应该具有优秀的组网适应能力，保证防火墙有利于更灵活的组建业务网络。优秀的组网能力主要反映在以下几个方面：支持比较丰富的接口类型，接口类型的丰富可以满足物理连接层面上的组网适应能力。支持

34、路由协议，大部分防火墙都不支持动态路由协议，一般都是使用静态路由协议。但是在很多场合，支持动态路由协议可以有效的提高防火墙的组网适应能力。防火墙应该支持透明模式。透明模式使得防火墙可以工作在二层方式下，当防火墙加入到网络中的时候可以不影响网络现在的拓扑。支持各种虚拟接口，比如 VLAN 子接口、隧道接口等。防火墙一般可以提供的物理接口是有限的，为了可以使得防火墙可以适应更复杂的组网，防火墙设备应该支持虚拟接口，通过虚拟接口使得防火墙可以提供更复杂的组网支持。 2.13 VPN业务防火墙由于处于企业网络的边缘，因此防火墙设备一般都可以提供 VPN 业务，通过防火墙强大的控制能力，可以通过

35、防火墙建立企业之间的 VPN 连接服务。在 VPN 阵营里面，最常用的 VPN 技术就是 IP VPN，包括 IPSEC/ L2TP/GRE VPN 等。IP VPN 技术的作用是使远程分支和移动办公用户安全高效地接入到企业网，通常应用于网络的边缘。通过防火墙一般可以提供如下一些 VPN 服务：通过防火墙提供企业分支机构之间的互联互通的 VPN 服务，一般可以提供 IPSEC加密隧道提供非常可靠安全的 VPN 服务；通过防火墙为企业移动办公人员提供 VPN 接入服务，这要求防火墙支持二层的VPN 协议，现在最通用的二层 VPN 协议是 L2TP，通过 L2TP 可以使得远程出差员工通过

36、帐户、密码安全的接入到企业内部，提供 VPN 服务；防火墙需要提供高效的加密服务；防火墙应该支持完备的 VPN 协议，例如 GRE、 IPSEC、 L2TP 等；各种 VPN 协议应该严格按照 RFC 或者相关标准实施，保证可以和其他厂商的 VPN设备互联互通。 2.14 防火墙管理系统防火墙应该具有良好的人机界面，可以通过多种方式对防火墙设备进行管理。防火墙设备应该具有方便的升级手段，可以实现热补丁等在线升级功能。防火墙应该支持图形化管理方式，方便防火墙的配置和策略管理等功能。防火墙应该支持远程维护、监控的手段。远程登陆应该支持安全可靠的方式，例如支持通过 SSH 进行远程

37、登陆。 USG6000 系列下一代防火墙产品技术白皮书 2 下一代防火墙设备的技术原则文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 7 2.15 防火墙的日志系统系统日志提供了一种事后审计的方式，防火墙设备针对各种操作记录、攻击信息等情况应该可以提供详细的日志，并且可以提供日志查询、过滤等的手段，可以方便的进行日志查找、分析等功能。 USG6000 系列下一代防火墙产品技术白皮书 3 Secospace USG6000 系列防火墙技术特点文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 1 3

38、 Secospace USG6000系列防火墙技术特点 3.1 高可靠性设计华为 Secospace USG6000 系列防火墙采用电信级硬件系统和专用软件系统 (华为自主知识产权的专用操作系统 VRP)，在提供高安全、高可靠性的同时，很好地解决了高性能与业务处理复杂之间的矛盾。华为 Secospace USG6000 系列防火墙从高可靠的硬件设计、健壮的软件体系、双机热备技术、链路备份技术、热备份等方面采取了措施保证网络可靠性。华为下一代防火墙 NG_Security 硬件平台 NG_Security 硬件平台是华为公司全新一代高性能系列安全产品的硬件平台。NG_Security 硬件

39、平台采用“多核 MIPS” +“硬件协处理加速” +“高速 SwitchFabric”的架构，通过高速总线实现多核 CPU 与业务处理模块，接口扩展模块直接的通信。NG_Security 硬件平台同时进行了冗余设计，提高硬件可靠性。增强了性能和功能的扩展，进一步实现了存储的扩展，满足网络安全设备对本地日志存储的需要。图 3-1 华为 NG_Security 硬件架构多核处理器以太网交换固定接口扩展接口C o P r o c e s s o rC o P r o c e s s o rC o P r o c e s s o r. . . . . . . . . .

40、 .H D DC o r e C o r eC o r e C o r eC o r e C o r e. . . . . .交换芯片USG6000 系列下一代防火墙产品技术白皮书 3 Secospace USG6000 系列防火墙技术特点文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 2 多核 MIPS CPU 华为 NG_Security 硬件平台采用 64 位高性能多核 MIPS 平台， MIPS 架构基于一种固定长度的定期编码指令集，其精简的指令集、指令与高速数据缓存分层的设计、并发的多级流水线、以及专门为网络报文吞吐所设计的高速

41、接口及 DMA 能力，结合华为公司电信级的嵌入式实时操作系统，保证了 NGFW 平台处理的高性能。图 3-2 多核 MIPS CPU C P U C o r e 1O S L a y e r O S L a y e rV R P转转转转转V P N 转转转C P UO SA p p l i c a t i o nC o r e 2 C o r e nU T M 转转转. . . . . .同时，在 NG_Security 硬件平台的高端机型，还可多扩展一块 CPU 处理板，即相当于实现 1+1 的 CPU 扩展能力，每颗 CPU 均为多核 MIPS 处理器，这样的弹性扩展能力可实

42、现硬件处理能力的翻倍。图 3-3 华为 NG_Security软件平台 AVI P SD L PD a t aA c t i onH e a d.H T T PF a c e b o o k单次引擎并行处理报文还原单次解析应用识别协议解码并行匹配I A E : I n t e l l i g e n c e A w a r e E n g i n e 智能感知引擎下一代防火墙采用全新架构的智能感知引擎（ IAE, Intelligence Aware Engine）。传统威胁检测引擎根据逐个报文进行威胁特征匹配，这种方式容易造成攻击者逃避检测。IAE 摒弃了此种方

43、式，将报文根据会话进行重组，并进行协议解码和特征匹配，更加精准的检测各层协议中的威胁。在检测过程中，基于多核 CPU 架构， IAE 采用了一次解析，多业务并行处理的架构。其核心的应用解析和特征匹配处理由硬件加速模块高速处理，各个安全业务并行的跟踪处理结果并更新状态，当威胁特征的条件都符合时，立即根据安全策略触发响应动作，而当条件不符合时， IAE 会自动调整跟踪状态，确保检测安全的流量高速转发。这种架构确保了多安全业务开启情况下，对整体性能影响最小。在硬件层面，采用专用多核平台，多个 CPU 并行处理。同时，使用硬件加速技术，配合 IAE 进行应用解析和特征匹配，极大的提升检测效率。硬

44、件协处理加速 USG6000 系列下一代防火墙产品技术白皮书 3 Secospace USG6000 系列防火墙技术特点文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 3 华为 NG_Security 硬件平台集成了 IPSec、 SSL 加解密运算，压缩解压缩，模式匹配，以及硬盘 RAID 的硬件协处理器。使得本来应该由 CPU 软件来计算处理的特定、重复的耗费 CPU 性能的业务，如加解密、压缩解压缩、模式匹配等，由协处理器来完成，这样 CPU 就不需要参与计算，对 CPU 的消耗大大降低。图 3-4 华为 NG_Security协处理

45、和 CPU扩展能力 +转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转 5 0 % 转转转 C P U 转转转转转转转转转转转转转转转转转转转转转转转转转转转转转转 C P U 转转转转转转转转转转转转转转转转转转转转高速总线华为 NG_Security 硬件平台选用容量达 480Gbps 的交换芯片来作为多核 CPU，业务处理模块，扩展接口模块之间的互联总线，高容量的交换总线为模块之间的提供的足够

46、的带宽，保证了各模块之间的业务交换。图 3-5 华为 NG_Security软件平台 C P U C P U C P U C P U C P U。C P U C P U C P U C P U C P U。20G20G20G。20G20G20G。Sw i tc h F a b r i c 存储模块华为 NG_Securiy 支持 300GB 大容量，高速率的 SAS 硬盘，为用户提供实时记录日志和报表。双硬盘支持 RAID1，提供数据的可靠备份。硬盘热插拔设计为用户扩容升级提供保证。扩展性 USG6000 系列下一代防火墙产品技术白皮书 3 Secospace USG6000 系

47、列防火墙技术特点文档版本 V1.1 (2014-03-12) 华为专有和保密信息版权所有华为技术有限公司 4 硬件采用弹性可扩展架构，针对不同应用场景需求，可通过业务处理板卡扩容实现安全业务性能翻倍提升。智能感知引擎与弹性硬件架构的结合，实现了万兆级的全威胁防护性能，可以满足大型企业数据中心的安全防护要求。新一代防火墙提供多个高密度扩展接口卡槽位，支持千兆光电及万兆口等丰富接口卡类型，管理员可以根据业务的发展灵活扩展设备的硬件转发能力与设备性能。通过虚拟系统功能，可以将一台物理设备划分为多台逻辑上完全隔离，相互独立的虚拟设备，实现系统级的扩展，满足设备租赁和云计算场景。硬盘支持选配

48、，用户可以根据实际需求选择合适的配置；以上的扩展性，客户在初期可以根据需求选择配置，根据需求的增加直接采购模块扩展。有效的保护了客户的投资。高可靠性电源 1+1 冗余备份，硬盘支持 RAID1。当其中一个部件发生故障是，相同的功能部件会分担故障部件的任务，为用户提供超长时间无故障的硬件保障。故障检测：系统会实时监测整机，安全业务处理板和接口板上关键器件的工作状态，发现异常后可报警，包括：风扇故障告警、电源故障告警、温度过高报警等等。双机热备：提供完备的双机热备机制保障网络的可靠性。一台 NGFW 在发生故障时，业务可以平滑切换到另一台备用设备上，用户业务不中断，用户不会感知到网络故

49、障的存在。双机热备可以对关键的配置和连接表项进行实时数据备份，保证切换时不影响防火墙的性能。同时为用户提供手动批量数据备份的功能。硬件 bypass：支持内置电 Bypass 插卡，当设备出现故障时，可以直接 bypass，避免用户业务中断；绿色节能和环保动态功耗管理。 NGFW 防火墙优选高效低功耗架构，采用低功耗器件、高效率电源，从设计源头降低设备功耗。软硬件结合的动态能耗管理。系统软件根据设备忙闲状态、功能开启情况、端口连接状态、设备温度对设备实现动态能耗控制，如动态关闭空闲端口和功能单元、对风扇实现独立控制调速等。智能散热技术。 NGFW 防火墙全部选用 PWM 调速风扇，通过精密分档调速、分区散热技术，比传统散热设计，风扇功耗降低 70%以上。即降低了整机功耗，也改善了设备噪音问题。绿色环保制造工艺。 NGFW 防火

展开阅读全文